【セキュリティ事件簿#2023-410】株式会社サンリオ  サンリオオンラインショップに係る個人情報漏洩に関するお知らせとお詫び

 

この度、株式会社サンリオ(本社:東京都品川区、以下「弊社」といいます)のオンラインショップ「サンリオオンラインショップ本店」にて、障害が発生し、一部のお客様において「マイページやご注文手続きページで、自分の情報でなく他のお客様の情報が表示される」という事象が発生いたしました(以下、「本件」といいます)。現時点では、お客様情報の不正利用などの事実は確認されておりませんが、皆様には多大なるご迷惑およびご心配をお掛けする事態にいたりましたこと、ここに深くお詫び申し上げますとともに、再発防止に向けて徹底を図る所存です。

1.経緯

2023年10月12日(木)13時20分~14時の間に、二人のお客様より弊社コンタクトセンターに対して「マイページやご注文手続きページで自分の情報でなく他のお客様の情報が表示される」というご連絡をいただきました。弊社にて調査を実施した結果、当該事象が発生していることを確認し、同日14時54分にオンラインショップの運営を一時的に停止いたしました。

その後の追加調査の結果、同日12時19分~14時54分の間、当該事象が発生する可能性がある状態となっていたことが判明いたしました。

2. 個人情報が表示されていた情報媒体

サンリオオンラインショップ本店。(実店舗やサンリオプラスアプリでは当該事象は発生しておりません)。

3. 発生期間(本人以外の個人情報が表示された発生期間)

2023年10月12日(木)12時19分~14時54分。

4.個人情報漏洩の対象となるお客様

上記3.の期間において、サンリオオンラインショップ本店へログインを⾏なった一部のお客様。

5. 漏洩が発生、もしくは発生した可能性があるお客様の数

最大145名のお客様情報。

6. 漏洩情報の種類

表示された可能性がある情報の種類は以下の通りとなります。

    • 注文者情報【氏名/ニックネーム/メールアドレス/郵便番号/住所/電話番号】
    • お子様情報【ニックネーム/生年月日/性別】
    • お届け先情報【氏名/住所/電話番号】
    • クレジットカード番号の下 3 桁/有効期限
    • 注文商品名および金額

7.原因

大量アクセスに対応するためのサーバー負荷分散システムの誤設定(弊社オンラインショップのシステム運用会社である株式会社ビービーエフにて、弊社からの依頼に基づきサーバー負荷分散システムの設定を実施する際に、一部の設定に誤りがあったために発生)。

8.実施済みの対応と現在の状況

  • 2023 年 10 月 12 日(木)14:54 にオンラインショップの運営を一時的に停止いたしました。結果、それ以降の漏洩は生じていない状況です。
  • 本件の対象となる可能性があるお客様は特定済みであり、該当のお客様には、弊社より順次メールにてご連絡差し上げております。

9.今後の対応

弊社は、本件発生を重く受け止め、今後同様の事態が発生しないよう障害の要因となったシステムの障害対策強化・セキュリティ強化を実施し、信頼回復に全力を尽くして参ります。
皆様に、ご心配とご迷惑をお掛けしておりますことに、改めて深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-409】株式会社リコー 不正アクセスによる情報流出に関するお知らせとお詫び

 

株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が、外部に流出した可能性があることを確認しましたので、お知らせいたします。

お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。

1. 今回の不正アクセスによる情報流出の状況

  • お客様のログインID(4,244ID)
    *このうち、ログインIDにメールアドレスを設定しているお客様が629件あります。
    *お客様の保存ファイル、パスワードなどの流出はございません。
    *IDはリコーグループ内での利用を除いた数となります。

  • うち、ログインIDに加えて、登録氏名+メールアドレス+暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

  • うち、ログインIDに加えて、暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

2. 発生とその把握の日時

発生:2023年9月18日 21時46分~同日 22時01分

把握:2023年10月4日 17時

3. 発生原因

  • XXE(XML External Entity)脆弱性*を利用した情報取得
    *アプリケーションがXMLを解析した際に、XMLの特殊構文を悪用されて発生する脆弱性

4. 対策

  • 脆弱性への対応
  • 監視体制の強化
  • 該当するお客様に対する個別のご連絡と注意喚起

5. 二次被害又はそのおそれの有無及びその内容

想定される二次被害

  • スパムメール等のメール受信
  • “なりすまし”による不正ログイン

状況

現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応くださいますようよろしくお願いします。

また他のサイトにおいて不正ログインの試みが発生する可能性がありますので、十分に複雑なパスワードや多要素認証の利用をお願いします。

6. お客様へのお願い事項

  • 不審なメールを受信した際には開封せずに削除をお願いいたします。
  • 推察しやすい簡易なパスワードを設定している場合(1111など)は、パスワードの変更をお願いいたします。
  • パスワードポリシーの設定(パスワードの長さ、複雑さ、アカウントロックまでのパスワードエラー回数の設定)の見直しをご検討ください。
  • 2段階認証(ログイン時にメールアドレス入力とワンタイムパスワードの発行)は、なりすまし対策に最も有効な対策となりますので、ご検討ください。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-408】愛知県 「X投稿プレゼントキャンペーン」における個人情報の漏えいについて


昨日(10月12日(木曜日))、愛知・名古屋大河ドラマ展実行委員会(県と名古屋市で構成)が実施した「X(旧Twitter)投稿プレゼントキャンペーン」において、当選者のうち9名分の個人情報が漏えいする事案が判明しました。

 キャンペーン当選者の皆様を始め、関係者の方々に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

(参考)「X投稿プレゼントキャンペーン」について

期間:2023年8月19日(土曜日)から9月24日(日曜日)まで

内容:名古屋城金シャチ横丁の土産店「鯱上々」で、「家康」をテーマに写真を撮り、「鯱上々」内に隠されたキーワードとともにXに写真を投稿した方のうち、抽選で100名の方に、Amazonギフトカード2,000円分をプレゼントするキャンペーン。

実施:愛知・名古屋大河ドラマ展実行委員会が株式会社ジェイアール東日本企画中部支社に委託して実施。

1 漏えいした個人情報​

 同キャンペーンの当選者のうち9名分の氏名、Xアカウント名及びメールアドレス

※同キャンペーンの当選者100名のうち最初の13名に対して、10月11日(水曜日)午後10時37分にダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、10月12日(木曜日)午前9時49分までに入力を行った9名の方の情報が相互で閲覧可能な状態にありました。

2 原因

 大河ドラマ展PR業務の受託者である株式会社ジェイアール東日本企画中部支社(名古屋市中村区)が、同キャンペーンの当選者に対して送信した、景品(ギフトカードのシリアル番号)の送信先の入力フォームの設定に誤りがあったため。

3 経緯と対応

10月11日(水曜日)午後10時37分

同キャンペーンの当選者のうち最初の13名に対して、Xのダイレクトメッセージで入力フォームを送付し、景品の送付先に関する情報の入力を依頼した。

10月12日(木曜日)午前0時47分から午前9時11分まで

入力フォーム登録者全員の登録情報(氏名、Xアカウント、メールアドレス)が閲覧できる旨の報告が、当選者から3件寄せられた。

10月12日(木曜日)午前9時49分

受託者である株式会社ジェイアール東日本企画中部支社において確認したところ、個人情報の漏えいが確認されたため、管理者のみが閲覧可能な状態に設定を変更した。

10月12日(木曜日)午後7時から

個人情報が漏えいした入力フォーム記入者9名全員に対して、謝罪した。

 4 再発防止策

​ 今回の事案を踏まえ、同様の事案が発生しないように、個人情報の適切な管理及び取扱について受託者を指導するとともに、県においても、業務期間内の受託者の管理及び取扱状況を確認することによりチェック体制を充実させ、再発防止を徹底します。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-407】株式会社FANSMILE 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が2022年12月22日まで運営しておりました、リニューアル前の「NICO ONLINE SHOP(https://nico-online.com/)」(以下、「当サイト」といいます。)におきまして、お客様のクレジットカード決済情報13,084件を含む購入情報14,487件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

■ 1.経緯


2023年2月22日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。
弊社では、クレジットカード会社から上記連絡を受ける以前の2022年12月22日に、当サイトをリニューアルしておりましたが、あらゆる危険性を考慮し、2023年2月22日、当サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年4月30日、調査機関による調査が完了し、2021年3月2日~2022年12月22日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

■ 2.個人情報漏えい状況


(1)原因

弊社が運営するサイトへの第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月2日~2022年12月22日の期間中に当サイトにおいてクレジットカード決済をされたお客様13,084件で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(3)個人情報漏えいの可能性があるお客様


2021年3月2日~2022年12月22日の期間中に当サイトにおいて購入されたお客様14,487件で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・郵便番号
・住所
・電話番号
・メールアドレス
・購入履歴
・会社名
・FAX番号
・性別
・生年月日
※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

■ 3.お客様へのお願い


既に弊社では、決済代行会社と連携し、クレジットカード会社が漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

■ 4.公表までに時間を要した経緯について


2023年2月22日の漏えい懸念の発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

■ 5.再発防止策ならびにクレジットカード決済の再開時期について


リニューアル後(2022年12月23日~現在)の当サイトでは、不正アクセスの影響が無いことを第三者機関の調査で確認しております。また、このたびの事態を厳粛に受け止め、調査結果を踏まえて、より強固なセキュリティ対策と監視体制の強化を行い、再発防止に努めてまいります。リニューアル後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会事務局には2023年2月24日に報告済みであり、また、所轄警察署にも2023年6月9日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:

【セキュリティ事件簿#2023-406】JR東日本ホテルメッツ 五反田 不正アクセスによるお客様の個人情報流出の可能性及びフィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ

 

この度、JR東日本ホテルメッツ五反田におきまして、当ホテルで利用しているooking.com社(本社:アムステルダム(蘭))の宿泊予約情報管理システム(以下、管理システム)が不正アクセスを受け、一部のお客様の個人情報が流出した可能性を否定できない事態が発生いたしました。

また、悪意のある人物により一部のお客様に対してフィッシングサイト(※)へ誘導するメッセージが配信されたことを確認いたしました。

詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信した場合、記載されたURLリンクへアクセスされませんよう、お願い申し上げます。

※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。

1.事象の経緯

2023年10月5日(木)16時過ぎより、Booking.com経由でご予約いただいたお客様から、フィッシングサイトへ誘導するメールが届いているとのお問い合わせが当ホテルに寄せられたことで、管理システムが不正アクセスを受けたことが判明いたしました。

これを受けて、当社は直ちに管理システムへのログインパスワードの変更を行うとともに、Booking.com社経由の新たな宿泊予約の受付を停止する対応を行いましたが、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。不正アクセスの原因等については、現在当社及び関係機関において調査中です。

なお、Booking.com社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。

2.お客様への対応

お問い合わせいただきましたお客さまには、状況をご説明のうえ、記載されたURLリンクへのアクセスをされないようご案内しております。また、Booking.com社経由でご予約いただいたお客様へは、同内容の注意喚起のご連絡を差し上げております。

3.今後の対応と再発防止策

現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。また、詳細が明らかになりましたら随時報告させていただきます。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-405】垂井町 歴史講演会当選者への連絡による個人メールアドレスの流出について

 

垂井町業務の委託事業者である株式会社ポニーキャニオン が、今和 5 年10月5日(木)に送信した「垂井町歴史講演会にご当選の皆様」 において、誤って個人のメールアドレス236件が流出する事案が発生しましたので報告いたします。

1 概要

垂井町 産業課において、歴史講演会の開催を企画し、業務を株式会社ポニーキャニオンへ委託しました。講演会の観覧希望者は応募制とし、開催日が近づいたことから、当選者の個人メールアドレスのみを委託事業者へ提供し、事業の概要及び注意事項を当選者へメール送信を行ったところ、誤って他人のメールアドレスが表示された状態で各個人あてに送信してしまったものです。

2 影響

送信先: 236名、流出対象者: 236名

3 経緯

10月5日(木) 
午前10時
委託事業者がメールを送信
午前10時10分
当該メールを受け取られた方から、メールアドレスが見られるようになっているとの電話が町へあった。確認したところ、誤って送信先全員を宛先(TO)で送っていたことが判明。町から委託事業者へ事故発生を伝える。
午前11時45分
委託事業者から対象者あて、お詫びとともに送信したメールを削除していただくようお願いする内容のメールを送信
10 月6日(金) 
午後1時30分
町から対象者へお詫びと概要・経緯のメールを送信

4 事案発生原因

委託事業者である株式会社ポニーキャニオンの担当者が、今回のメール送信にあたって、ダブルチェックなどの措置を行わず、一人で行ったことによるものです。

5 今後の対応

今回の件を重く受け止め、委託事業者に対し、情報セキュリティ対策を踏まえた業務執行体制の 確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-404】ART MON ZEN KYOTO 弊社InstagramとFacebookアカウントについてのお詫びとご報告


いつもART MON ZEN KYOTOをご愛顧賜りまして誠にありがとうございます。

2023年9月27日 、弊社Instagramアカウント@hotel_art_mon_zen_kyotoと
FacebookアカウントART MON ZEN KYOTOが、第三者により不正アクセス及び乗っ取り被害を受けていたことが判明いたしました。
以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について
弊社Instagramアカウント@hotel_art_mon_zen_kyoto と
弊社FacebookアカウントART MON ZEN KYOTOに
おきまして悪意ある第三者による不正アクセス及び乗っ取り被害が発覚いたしました。
2023年9月27日以降、弊社からインスタグラムやFacebookを使用して投稿することやダイレクトメッセージをお送りすることはございません。 
万が一ダイレクトメッセージ等、弊社を装った連絡や弊社への誘導を装うURLがあった場合には開かれませぬようお願いいたします。
また開かれた場合にはスパムの恐れがございますので内容に従わないよう、ご注意くださいませ。
インスタグラムやFacebookにつきましては、被害の報告と解決のリクエストを運営会社に現在依頼中でございます。

対処について現在、再発防止のため原因の調査および、各ソーシャルメディアアカウントの
運用ポリシーの精査を行っております。

お客さまにはご迷惑とご心配をおかけし、誠に申し訳ございません。
今回の不正アクセスを防止する緊急対策として、直ちにWebサイトのセキュリティを強化いたしました。
お客様にご心配をお掛けいたしましたこと、心よりお詫び申し上げます。

全社一丸となって、お客さまの信頼回復に努めてまいりますので、引き続きご利用いただけますと幸いです。

今後とも宜しくお願い申し上げます。

Labels:

【セキュリティ事件簿#2023-403】株式会社マウンハーフジャパン 「MHJストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「MHJストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報23,309件を含む個人情報最大25,326件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年7月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年7月27日弊社が運営する「MHJストア」でのカード決済停止およびストアの閉鎖をいたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年8月27日、調査機関による調査が完了し、2021年3月2日~2023年7月18日の期間に 「MHJストア」で書籍の購入や検定・講座をお申込みされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。7月18日までの期間となる理由は、2023年7月18日に「MHJストア」は異なるプラットフォームを使用した新ストアへリニューアルをおこなっているためです。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

 弊社が運営する「MHJストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月21日~2023年7月18日の期間中に「MHJストア」においてクレジットカード決済をされたお客様23,309名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

過去に当サイトをご利用いただいたお客様最大25,326名で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・住所、郵便番号
・電話番号
・メールアドレス
・購入履歴
・性別
・生年月日
・会社名(任意入力項目)
・FAX番号(任意入力項目)


上記(2)(3)に該当する25,326名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社へ依頼しております。

4.公表が遅れた経緯について

2023年7月27日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことといたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、また、所轄警察署にも2023年9月8日被害申告をしており、今後捜査にも全面的に協力してまいります。

6.現在のMHJストアについて

不正アクセスを受けたオンラインショップは2023年7月18日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行ないました。不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて運営を再開する所存で御座いますので、ご迷惑をおかけしますが、今しばらくお待ちください。再開次第当サイトにてお知らせ申し上げます。

Labels:
登録: 投稿 (Atom)